search

Ealenn / Echo-Server

REST Server Tests (Echo-Server) API / Docker / Kubernetes / Helm
https://ealenn.github.io/Echo-Server
GNU General Public License v3.0
265 stars 53 forks source link

Security issues discovered during scan #108

Open cbugneac-nex opened 1 year ago

cbugneac-nex commented 1 year ago

Is your feature request related to a problem? Please describe. Trivy scan finds issues in container image.

$ trivy image ealen/echo-server
...

ealen/echo-server (alpine 3.16.1)
=================================
Total: 17 (UNKNOWN: 0, LOW: 0, MEDIUM: 6, HIGH: 10, CRITICAL: 1)

┌──────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬────────────────────────────────────────────────────────────┐
│   Library    │ Vulnerability  │ Severity │ Status │ Installed Version │ Fixed Version │                           Title                            │
├──────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼────────────────────────────────────────────────────────────┤
│ libcrypto1.1 │ CVE-2022-4450  │ HIGH     │ fixed  │ 1.1.1q-r0         │ 1.1.1t-r0     │ double free after calling PEM_read_bio_ex                  │
│              │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2022-4450                  │
│              ├────────────────┤          │        │                   │               ├────────────────────────────────────────────────────────────┤
│              │ CVE-2023-0215  │          │        │                   │               │ use-after-free following BIO_new_NDEF                      │
│              │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2023-0215                  │
│              ├────────────────┤          │        │                   │               ├────────────────────────────────────────────────────────────┤
│              │ CVE-2023-0286  │          │        │                   │               │ X.400 address type confusion in X.509 GeneralName          │
│              │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2023-0286                  │
│              ├────────────────┤          │        │                   ├───────────────┼────────────────────────────────────────────────────────────┤
│              │ CVE-2023-0464  │          │        │                   │ 1.1.1t-r1     │ Denial of service by excessive resource usage in verifying │
│              │                │          │        │                   │               │ X509 policy constraints...                                 │
│              │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2023-0464                  │
│              ├────────────────┤          │        │                   ├───────────────┼────────────────────────────────────────────────────────────┤
│              │ CVE-2023-2650  │          │        │                   │ 1.1.1u-r0     │ Possible DoS translating ASN.1 object identifiers          │
│              │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2023-2650                  │
│              ├────────────────┼──────────┤        │                   ├───────────────┼────────────────────────────────────────────────────────────┤
│              │ CVE-2022-4304  │ MEDIUM   │        │                   │ 1.1.1t-r0     │ timing attack in RSA Decryption implementation             │
│              │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2022-4304                  │
│              ├────────────────┤          │        │                   ├───────────────┼────────────────────────────────────────────────────────────┤
│              │ CVE-2023-0465  │          │        │                   │ 1.1.1t-r2     │ Invalid certificate policies in leaf certificates are      │
│              │                │          │        │                   │               │ silently ignored                                           │
│              │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2023-0465                  │
│              ├────────────────┤          │        │                   ├───────────────┼────────────────────────────────────────────────────────────┤
│              │ CVE-2023-3446  │          │        │                   │ 1.1.1u-r2     │ Excessive time spent checking DH keys and parameters       │
│              │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2023-3446                  │
├──────────────┼────────────────┼──────────┤        │                   ├───────────────┼────────────────────────────────────────────────────────────┤
│ libssl1.1    │ CVE-2022-4450  │ HIGH     │        │                   │ 1.1.1t-r0     │ double free after calling PEM_read_bio_ex                  │
│              │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2022-4450                  │
│              ├────────────────┤          │        │                   │               ├────────────────────────────────────────────────────────────┤
│              │ CVE-2023-0215  │          │        │                   │               │ use-after-free following BIO_new_NDEF                      │
│              │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2023-0215                  │
│              ├────────────────┤          │        │                   │               ├────────────────────────────────────────────────────────────┤
│              │ CVE-2023-0286  │          │        │                   │               │ X.400 address type confusion in X.509 GeneralName          │
│              │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2023-0286                  │
│              ├────────────────┤          │        │                   ├───────────────┼────────────────────────────────────────────────────────────┤
│              │ CVE-2023-0464  │          │        │                   │ 1.1.1t-r1     │ Denial of service by excessive resource usage in verifying │
│              │                │          │        │                   │               │ X509 policy constraints...                                 │
│              │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2023-0464                  │
│              ├────────────────┤          │        │                   ├───────────────┼────────────────────────────────────────────────────────────┤
│              │ CVE-2023-2650  │          │        │                   │ 1.1.1u-r0     │ Possible DoS translating ASN.1 object identifiers          │
│              │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2023-2650                  │
│              ├────────────────┼──────────┤        │                   ├───────────────┼────────────────────────────────────────────────────────────┤
│              │ CVE-2022-4304  │ MEDIUM   │        │                   │ 1.1.1t-r0     │ timing attack in RSA Decryption implementation             │
│              │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2022-4304                  │
│              ├────────────────┤          │        │                   ├───────────────┼────────────────────────────────────────────────────────────┤
│              │ CVE-2023-0465  │          │        │                   │ 1.1.1t-r2     │ Invalid certificate policies in leaf certificates are      │
│              │                │          │        │                   │               │ silently ignored                                           │
│              │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2023-0465                  │
│              ├────────────────┤          │        │                   ├───────────────┼────────────────────────────────────────────────────────────┤
│              │ CVE-2023-3446  │          │        │                   │ 1.1.1u-r2     │ Excessive time spent checking DH keys and parameters       │
│              │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2023-3446                  │
├──────────────┼────────────────┼──────────┤        ├───────────────────┼───────────────┼────────────────────────────────────────────────────────────┤
│ zlib         │ CVE-2022-37434 │ CRITICAL │        │ 1.2.12-r1         │ 1.2.12-r2     │ heap-based buffer over-read and overflow in inflate() in   │
│              │                │          │        │                   │               │ inflate.c via a large...                                   │
│              │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2022-37434                 │
└──────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴────────────────────────────────────────────────────────────┘
2023-08-02T11:57:01.615+0100    INFO    Table result includes only package filenames. Use '--format json' option to get the full path to the package file.

Node.js (node-pkg)
==================
Total: 2 (UNKNOWN: 0, LOW: 0, MEDIUM: 1, HIGH: 1, CRITICAL: 0)

┌─────────────────────────────────────┬────────────────┬──────────┬────────┬───────────────────┬─────────────────────┬────────────────────────────────────────────────────────────┐
│               Library               │ Vulnerability  │ Severity │ Status │ Installed Version │    Fixed Version    │                           Title                            │
├─────────────────────────────────────┼────────────────┼──────────┼────────┼───────────────────┼─────────────────────┼────────────────────────────────────────────────────────────┤
│ http-cache-semantics (package.json) │ CVE-2022-25881 │ HIGH     │ fixed  │ 4.1.0             │ 4.1.1               │ Regular Expression Denial of Service (ReDoS) vulnerability │
│                                     │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2022-25881                 │
├─────────────────────────────────────┼────────────────┼──────────┤        ├───────────────────┼─────────────────────┼────────────────────────────────────────────────────────────┤
│ semver (package.json)               │ CVE-2022-25883 │ MEDIUM   │        │ 7.3.7             │ 5.7.2, 6.3.1, 7.5.2 │ Regular expression denial of service                       │
│                                     │                │          │        │                   │                     │ https://avd.aquasec.com/nvd/cve-2022-25883                 │
└─────────────────────────────────────┴────────────────┴──────────┴────────┴───────────────────┴─────────────────────┴────────────────────────────────────────────────────────────┘

Describe the solution you'd like Update the used packages with fixed issues.

Describe alternatives you've considered N/A

Additional context No

Ealenn commented 1 year ago

For information, I upgraded all node packages. It seems to reduce the vulnerability, but 3 related to Alpine are still present.

I'll probably fix that with a new MR related to docker user.

PS: Thanks, I discover this tool, really helpful.